Ero sivun ”Root” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(wikilinkitystä, maininta gui-vaihtoehdoista ja policykitistä)
Rivi 1: Rivi 1:
Root on Unix/Linux-järjestelmien pääkäyttäjä. Rootilla on oikeudet tehdä järjestelmässä käytännössä mitä vain, ja se on syytä rauhoittaa pelkästään asennus/asetuskäyttöön. Järjestelmän tavallinen käyttö tulee hoitaa rajatummilla käyttäjillä. Tämä tapa käyttää UNIX-tyylisiä järjestelmiä on tietoturvan kannalta erittäin tärkeä: kun käyttäjällä on kirjoitusoikeudet vain omiin tiedostoihinsa, mahdolliset viruksetkaan eivät pääse leviämään käyttäjän tiedostoja pitemmälle.
Root on Unix/Linux-järjestelmien pääkäyttäjä. Root-käyttäjällä on oikeudet tehdä järjestelmässä käytännössä mitä vain, ja se on syytä rauhoittaa pelkästään asennus/asetuskäyttöön. Järjestelmän tavallinen käyttö tulee hoitaa rajatummilla käyttäjillä. Tämä tapa käyttää UNIX-tyylisiä järjestelmiä on tietoturvan kannalta erittäin tärkeä: kun [[käyttäjä]]llä on [[tiedostojen oikeudet|kirjoitusoikeudet]] vain omiin [[tiedosto]]ihinsa, mahdolliset [[haittaohjelmat]]kaan eivät pääse leviämään käyttäjän tiedostoja pitemmälle.


Oikeita tapoja hankkia root-oikeudet niitä vaativaan käyttöön ovat [[su]] ja [[sudo]]-ohjelmien käyttäminen. Sudo on suositeltavampi, sillä se ei normaalisti jätä auki pääkäyttäjän terminaalia, jossa voisi epähuomiossa tehdä vahinkoa. Mikäli käyttämäsi ohjelma ei suostu toimimaan ilman pääkäyttäjän oikeuksia, mutta ei tosiasiassa tarvitse niitä, [[fakeroot]]ista on sinulle hyötyä.
Oikeita tapoja hankkia root-oikeudet niitä vaativaan käyttöön ovat [[su]] ja [[sudo]]-ohjelmien käyttäminen. Sudo ei normaalisti jätä auki pääkäyttäjän [[komentorivi]]ä, jossa voisi epähuomiossa tehdä vahinkoa. Toisaalta sudo on oletuksena määritelty kysymään käyttäjän ''omaa'' salasanaa vain viiden minuutin välein, mikä voi olla tietoturvariski. Mikäli käyttämäsi ohjelma ei suostu toimimaan ilman pääkäyttäjän oikeuksia, mutta ei tosiasiassa tarvitse niitä, [[fakeroot]]ista on sinulle hyötyä.
 
On myös olemassa [[GUI|graafisia]] ohjelmia, jotka ennen asetusohjelman tms käynnistämistä kysyvät rootin salasanaa. Ohjelmasta riippuen autentikointi saattaa myös jäädä voimaan tietyksi aikaa, minä aikana salasanaa ei tarvitse syöttää uudelleen. Tätä ilmaisee tavallisesti jokin kuvake paneelin tehtäväpalkissa.
 
Monet [[jakelu]]t ovat lisäksi hiljattain ottaneet käyttöön [[PolicyKit]]-nimisen järjestelmän, jossa pääkäyttäjän oikeudet voidaan myöntää toiminto- eikä sovelluskohtaisesti. Graafisissa ohjelmissa tämä tavallisesti tarkoittaa sitä, että ohjelma avataan tavallisilla oikeuksilla, jonka jälkeen vain pääkäyttäjälle tarkoitetut toiminnot voidaan ottaa käyttöön erillisen napin kautta.


== Mitä jos rootin salasana unohtuu? ==
== Mitä jos rootin salasana unohtuu? ==
Mikäli rootin salasana pääsee unohtumaan, ei ole syytä hävittää koko järjestelmää. Salasanan voi nimittäin vaihtaa. Tämän tehdäkseen on muokattava järjestelmän käynnistysparametreja käynnistyslataimessa ([[Grub]] tai [[Lilo]]). Kernelille annetaan parametri <tt>init=/bin/sh</tt>, mikä saa järjestelmän käynnistymään suoraan komentotulkkiin, missä salasana voidaan vaihtaa komennolla <tt>passwd root</tt>.
Mikäli rootin salasana pääsee unohtumaan, ei ole syytä hävittää koko järjestelmää. Salasanan voi nimittäin vaihtaa. Tämän tehdäkseen on muokattava järjestelmän [[ytimen käynnistysparametrit|käynnistysparametreja]] [[käynnistyslatain|käynnistyslataimessa]] ([[GRUB]] tai [[LILO]]). Ytimelle annetaan parametri <tt>init=/bin/sh</tt>, mikä saa järjestelmän käynnistymään suoraan [[komentotulkki]]in, missä salasana voidaan vaihtaa komennolla <tt>[[passwd]] root</tt>.


Tonen vaihtoehto on luoda salasanasta järjestelmäsi käyttämä salattu versio (yleensä [[md5]]-tarkistussumma) ja kopioida tämä tiedoston /etc/[[shadow-tiedosto|shadow]] (tai /etc/[[passwd-tiedosto|passwd]]) salasanakenttään. Tämän voit tehdä esimerkiksi Live-CD:llä tai toisesta käyttöjärjestelmästä käsin. Oikea rivi alkaa <tt>root:</tt>, jonka jälkeen seuraa salasanakenttä, päättyen kaksoispisteeseen.
Tonen vaihtoehto on luoda salasanasta järjestelmäsi käyttämä salattu versio (yleensä [[md5]]-tarkistussumma) ja kopioida tämä [[asetustiedosto]]n /etc/[[shadow-tiedosto|shadow]] (tai /etc/[[passwd-tiedosto|passwd]]) salasanakenttään. Tämän voit tehdä esimerkiksi [[live-cd]]:llä tai toisesta käyttöjärjestelmästä käsin. Oikea rivi alkaa <tt>root:</tt>, jonka jälkeen seuraa salasanakenttä, päättyen kaksoispisteeseen.


Jos tiedät jonkin tunnuksen salasanan voit kopioida salasanakentän tämän tunnuksen kohdalta. Voit myös asettaa salasanan jollekin live-linuxin tunnukselle ja kopioida salasanakohdan live-linuxin salasanatiedostosta.
Jos tiedät jonkin tunnuksen salasanan, voit kopioida salasanakentän tämän tunnuksen kohdalta. Voit myös asettaa salasanan jollekin live-linuxin tunnukselle ja kopioida salasanakohdan live-linuxin salasanatiedostosta.


Kolmas vaihtoehto on käyttää passwd-komentoa live-linuxista käsin, vaihtamalla juurihakemistonäkymä niin, että passwd-komento viittaa alkuperäisen järjestelmän tiedostoihin:
Kolmas vaihtoehto on käyttää passwd-komentoa live-linuxista käsin, vaihtamalla juurihakemistonäkymä niin, että passwd-komento viittaa alkuperäisen järjestelmän tiedostoihin:
Rivi 17: Rivi 21:
  [[exit]]
  [[exit]]


chroot vaihtaa näkymän niin, että /bin/passwd ja /etc/shadow viittaavatkin tiedostoihin /mnt/bin/passwd ja /mnt/etc/shadow. Näin salasana asettuu alkuperäisen järjestelmän asetusten mukaisesti, kunhan live-linuxin [[ydin]] on yhteensopiva uuden juuren mukaisten kirjastojen kanssa. Koska olet pääkäyttäjä, passwd ei kysyä salasanaa.
chroot vaihtaa näkymän niin, että /bin/passwd ja /etc/shadow viittaavatkin tiedostoihin /mnt/bin/passwd ja /mnt/etc/shadow. Näin salasana asettuu alkuperäisen järjestelmän asetusten mukaisesti, kunhan live-linuxin [[ydin]] on yhteensopiva uuden juuren mukaisten kirjastojen kanssa. Koska olet pääkäyttäjä, passwd ei kysy salasanaa.


[[Luokka:Järjestelmä]]
[[Luokka:Järjestelmä]]
[[Luokka:Ohjeet]]
[[Luokka:Ohjeet]]

Versio 17. lokakuuta 2008 kello 23.00

Root on Unix/Linux-järjestelmien pääkäyttäjä. Root-käyttäjällä on oikeudet tehdä järjestelmässä käytännössä mitä vain, ja se on syytä rauhoittaa pelkästään asennus/asetuskäyttöön. Järjestelmän tavallinen käyttö tulee hoitaa rajatummilla käyttäjillä. Tämä tapa käyttää UNIX-tyylisiä järjestelmiä on tietoturvan kannalta erittäin tärkeä: kun käyttäjällä on kirjoitusoikeudet vain omiin tiedostoihinsa, mahdolliset haittaohjelmatkaan eivät pääse leviämään käyttäjän tiedostoja pitemmälle.

Oikeita tapoja hankkia root-oikeudet niitä vaativaan käyttöön ovat su ja sudo-ohjelmien käyttäminen. Sudo ei normaalisti jätä auki pääkäyttäjän komentoriviä, jossa voisi epähuomiossa tehdä vahinkoa. Toisaalta sudo on oletuksena määritelty kysymään käyttäjän omaa salasanaa vain viiden minuutin välein, mikä voi olla tietoturvariski. Mikäli käyttämäsi ohjelma ei suostu toimimaan ilman pääkäyttäjän oikeuksia, mutta ei tosiasiassa tarvitse niitä, fakerootista on sinulle hyötyä.

On myös olemassa graafisia ohjelmia, jotka ennen asetusohjelman tms käynnistämistä kysyvät rootin salasanaa. Ohjelmasta riippuen autentikointi saattaa myös jäädä voimaan tietyksi aikaa, minä aikana salasanaa ei tarvitse syöttää uudelleen. Tätä ilmaisee tavallisesti jokin kuvake paneelin tehtäväpalkissa.

Monet jakelut ovat lisäksi hiljattain ottaneet käyttöön PolicyKit-nimisen järjestelmän, jossa pääkäyttäjän oikeudet voidaan myöntää toiminto- eikä sovelluskohtaisesti. Graafisissa ohjelmissa tämä tavallisesti tarkoittaa sitä, että ohjelma avataan tavallisilla oikeuksilla, jonka jälkeen vain pääkäyttäjälle tarkoitetut toiminnot voidaan ottaa käyttöön erillisen napin kautta.

Mitä jos rootin salasana unohtuu?

Mikäli rootin salasana pääsee unohtumaan, ei ole syytä hävittää koko järjestelmää. Salasanan voi nimittäin vaihtaa. Tämän tehdäkseen on muokattava järjestelmän käynnistysparametreja käynnistyslataimessa (GRUB tai LILO). Ytimelle annetaan parametri init=/bin/sh, mikä saa järjestelmän käynnistymään suoraan komentotulkkiin, missä salasana voidaan vaihtaa komennolla passwd root.

Tonen vaihtoehto on luoda salasanasta järjestelmäsi käyttämä salattu versio (yleensä md5-tarkistussumma) ja kopioida tämä asetustiedoston /etc/shadow (tai /etc/passwd) salasanakenttään. Tämän voit tehdä esimerkiksi live-cd:llä tai toisesta käyttöjärjestelmästä käsin. Oikea rivi alkaa root:, jonka jälkeen seuraa salasanakenttä, päättyen kaksoispisteeseen.

Jos tiedät jonkin tunnuksen salasanan, voit kopioida salasanakentän tämän tunnuksen kohdalta. Voit myös asettaa salasanan jollekin live-linuxin tunnukselle ja kopioida salasanakohdan live-linuxin salasanatiedostosta.

Kolmas vaihtoehto on käyttää passwd-komentoa live-linuxista käsin, vaihtamalla juurihakemistonäkymä niin, että passwd-komento viittaa alkuperäisen järjestelmän tiedostoihin:

mount /dev/mikälie /mnt
cd /mnt
chroot /mnt
passwd
exit

chroot vaihtaa näkymän niin, että /bin/passwd ja /etc/shadow viittaavatkin tiedostoihin /mnt/bin/passwd ja /mnt/etc/shadow. Näin salasana asettuu alkuperäisen järjestelmän asetusten mukaisesti, kunhan live-linuxin ydin on yhteensopiva uuden juuren mukaisten kirjastojen kanssa. Koska olet pääkäyttäjä, passwd ei kysy salasanaa.